La commande chmod permet de modifier les permissions des fichiers. Je vais vous expliquer deux manières de les modifier, chacun sa méthode, moi j'ai commencé par la première méthode, puis maintenant je le fais avec les deux sans problème. Bon pour modifier les permissions, on le fera en console, vous êtes un public averti maintenant ^^.

• Syntaxe

chmod [option] nom_du_fichier

Dans cette méthode je vais vous montrer comment modifier par les lettres U G O et R W X pour un rappel aller voir le wiki A savoir . Bon passons aux choses sérieuses, je veux rendre un fichier exécutable, pour cela je vais vérifier les droits grâce a la commande ls -l (voir LS ) sur le fichier php dans mon répertoire.

• Exemple

  mattux@chile:~> ls -l php
  -rw-r--r-- 1 mattux users 92 avr 20 23:26 php

Pour le rendre executable je ferais, avec une petite vérification en même temps :

• Exécution

  mattux@chile:~> chmod u+x php
  mattux@chile:~> ls -l php
  -rwxr--r-- 1 mattux users 92 avr 20 23:26 php

Voila je l'ai rendu juste exécutable pour l'users, maintenant vous pouvez le passer en droit d'écriture pour tous:

• Exécution

  mattux@chile:~> chmod go+w  php
  mattux@chile:~> ls -l php
  -rwxrw-rw- 1 mattux users 92 avr 20 23:26 php

Voilà je n'ai pas mis U pour l'user car il a déjà le droit d'écriture. Bon maintenant dernier test pour cette méthode, on va enlever le droit d'exécution et les droits d'écriture pour tous, on fera :

• Exécution

  mattux@chile:~> chmod ugo-wx php
  mattux@chile:~> ls -l php
  -r--r--r-- 1 mattux users 92 avr 20 23:26 php

Alors compris ! on passe à l'autre méthode ^^ .

Dans cette méthode on fera les modifications par des chiffres 4, 2 et 1, n'ayez pas peur c'est très simple, je vais reprendre les mêmes exemple que la Méthode 1, mais pour commencer je dois vous expliquer comment fonctionne cette méthode.

Une autre manière de représenter ces droits est sous forme binaire grâce à une clef numérique fondée sur la correspondance entre :

une expression binaire = un nombre décimal = une notation

        Soit :
      
      * 000 = 0 = - - -
      * 001 = 1 = - x - (exécution)
      * 010 = 2 = - - w (écriture)
      * 011 = 3 = - x w
      * 100 = 4 = r - - (lecture)
      * 101 = 5 = r - x
      * 110 = 6 = r w -
      * 111 = 7 = r w x

Il suffit donc de déclarer un chiffre et un seul entre 0 et 7 correspondant à toute la séquence en notation (r w x) et de l'attribuer à chacune des catégories d'utilisateur user, group, others (u, g, o).

        Exemples :
      
      * 777 = r w x r w x r w x = u g o peuvent tous lire + écrire + exécuter.
      * 605 = r w - - - - r - x = u peut lire + écrire g rien faire et o lire +
                                  exécuter.
      * 644 = r w - r - - r - - = u peut lire + écrire g  lire et o lire.
      * 666 = r w - r w - r w - = u g o peuvent tous lire + écrire. Aucun ne peut
                                  exécuter.

Une astuce permet d'associer rapidement une valeur décimale à la séquence de droits souhaitée. Il suffit d'attribuer les valeurs suivantes pour chaque type de droit.

        Le droit de :
      
      * lecture ( r ) correspond à 4
      * écriture ( w ) correspond à 2
      * exécution ( x ) correspond à 1

On additionne ces valeurs selon qu'on veuille ou non attribuer le droit correspondant pour chacune des catégories (u, g, o).

      Ainsi, rwx = 7 (4+2+1), r-x = 5 (4+1) et r-- = 4.
      Donne en séquences de droits complètes :
      (rwxr-xr--) = 754.

C'est une manière directe (et moins verbeuse, ATTENTION aux erreurs !) d'attribuer les droits et de les écrire sous cette forme en utilisant le code à 3 chiffres résultant.

Exemple pour un fichier :

        chmod 754 /chemin/du/fichier/test.txt

/chemin/du/fichier/test.txt étant un fichier imaginaire destiné à illustrer l'exemple…

Exemple pour un répertoire :

        chmod 754 /chemin/du/repertoire/test

où nous pouvons ajouter -R pour rendre les autorisations récursives à l'intérieur de ce répertoire, soit :

        chmod -R 754 /chemin/du/repertoire/test

Il est d'usage précautionneux de SYSTEMATIQUEMENT vérifier par

        ls -al /chemin/du/repertoire/

que nous avons bien obtenu ce que nous voulions modifier, répertoire par répertoire… C'est beaucoup, beaucoup de temps d'gagné !

Directement inspiré de :

url=http://www.ac-creteil.fr/reseaux/systemes/linux/debian/deb-tp-droits.html

Ce droit demande une connaissance préalable de tous les droits de bases, leur fonctionnnement, leur manipulation, ainsi que de la commande de listage ls. Si vous ne comprenez pas cette litanie, revoyez les commandes CHMOD CHOWN LS et concert…

POURQUOI CE DROIT ?

Observez :

Exemple de fichier où SUID s'applique nécessairement :

sous root lister dans un terminal :

   blabla # ls -l /etc/shadow
   -rw-r-----  root root  shadow

Les droits de réalisation (rw) dans le fichier shadow sont limités à u=root exclusivement.

et :

   blabla # ls -l /usr/bin/passwd
   -rxsr-xr-x  root  root /usr/bin/passwd

SUID, en s'intégrant (rxS) dans le fichier intermédiaire passwd où :

   (u) = root
   root = (rw-) sur shadow
   et (o) = (r-x) autorisant les exécutions de commande d'utilisateurs lambda non-root...

permet à passwd de créer TEMPORAIREMENT la passerelle NÉCESSAIRE à la commande initiale issue de (o) et utiliser le (rw-) de passwd sur shadow pour la réaliser !

Le :

chmod g+t

Sur un dossier signifie que les fichiers créés à l'intérieur ont pour groupe propriétaire le groupe propriétaire du dossier parent.

Si tu fais un u+t au lieu d'un g+t, c'est la même chose mais avec l'utilisateur propriétaire :

chmod u+t

Ça, c'est envoyé par le captnfab depuis le salon df. Il est pas champion le matelot, dites ?

Il était une fois…

SUID permet la réalisation (rw) d'une commande d'exécution (x) :
à partir d'un utilisateur-lambda (u = non-root),

VIA un fichier d'utilisateur exclusif (u = root par exemple...),

VERS un fichier de réalisation finale de propriété exclusive identique
(u = root selon l'exemple...),

SANS les droits permanents nécessaires : (rw) !

Le droit SUID est un droit TEMPORAIRE de fichier. Il s'agit d'un **dispositif de sécurité** essentiel
 qui autorise un utilisateur (u = non-root) à bénéficier de droits plus étendus  que les siens.
 pour obtenir les droits : (rw) sur un fichier exclusif (de sécurité réservé à root en général...),
par une commande exécutive (x)

En préservant la sécurité permanente du fichier de réalisation. Il fonctionne juste le temps
et sous le contrôle de la commande sollicitée. Ce droit est noté symboliquement par s
(sa valeur octale est 4000).

Dans la notation, il se met en lieu et place du x, celui-ci prenant celle du w au centre de la notation habituelle (- - -).

En fait, la notation de ce droit pour (u) seulement : rxs équivaut à rwx, ou 47- - = 7- -.

De nouveau, observez :

sous root lister dans un terminal :

   blabla # ls -l /etc/shadow
   -rw-r-----  root root  shadow

Ce qui indique toutes les limites de ce fichier (u = root). Sécurité maxi !

Puis, lister :

   blabla #ls -l /usr/bin/passwd
   -rxsr-xr-x  root  root /usr/bin/passwd

Ici, le droit (x) sur le fichier passwd est accordé à tous les exécutants lambda. (bah..) De plus :

 Le fichier passwd propriété de root, a accès de réalisation (rw)
 dans le fichier shadow, propriété root également.

 Le positionnement du SUID permet à passwd d'utiliser ses droits de réalisation root (rw-)
 dans le fichier shadow pour l'exécution de la commande lambda initié, en la prenant à son compte !

C't'un coquin… Majax enfoncé !

Exit l'utilisateur non-root initiateur de la commande ! C'est root qui agit maintenant !

Trop fort… Le coup d'la malle d'Houdini… Ouarf !

       Il est ainsi possible à tout exécutant non-root (ici via le fichier passwd)
     d'agir (ici, de mettre à jour le fichier des mots de passe...)
  dans un fichier en préservant la haute sécurité de celui-ci (ici c'est shadow),
dans le cadre UNIQUE de l'exécution d'une commande non autorisée au départ... CHAMPAGNE !

Pas de droits dangereusements permanents ! Sécurité préservée, santé assurée..!

Créé sous l'inspiration de Melodie, avec la tutelle attentive de Mattux_ ! Qu'ils en soient remerciés ici !

L'utilisation de find permet d'établir une liste de répertoires ou de fichiers afin de leur appliquer :

 en série et de manière typée une commande chmod, chown ou autres...

Exemple :

 find -type d /home/monrepertoire -exec chmod -R 775 {} ;

se décompose ainsi :

 "find -type d" où -type d indique de ne lister et d'agir que sur des répertoires.
 (Pour des fichiers, et que des fichiers, écrire -type f)
 "/home/repertoire" le chemin où débute la commande
 "-exec chmod -R 775" exécution de la commande (ici droits en octales...)
 "{} ;" pour finaliser find. Voir commentaires **man find** ligne 804 -exec commande

L'exécution judicieuse de cette ligne permet :

sur un ensemble de répertoires ou de fichiers typés,

C'est à dire définis au préalable dans la ligne de commande,

       ATTENTION AUX RISQUES DE SECURITE !

de placer ou replacer une série de droits que l'on désire harmoniser d'un seul coup ! Aie !

       ATTENTION AUX RISQUES DE SECURITE !

Regardez-y à deux fois dans cett' manip, sous peine de fragiliser votre machine !

D'une manière générale, tout ce qui est listé par l'emploi de find demande une forte connaissance de ce que l'on fait ET une circonspection absolue !

Sinon, find , par ses possibilités de typage pointu, (j'ai déjà dit Aie ?)(voir le man find…. 1687 ligne !!! C'est pas pour rien !)

permettra un listage au p'tits oignons sans écritures laborieuses...
Ce qui est le soucis de tout linuxien averti au final !

Averti le linuxien, averti vous dis-je…

   Ne sautez pas les étapes et prenez conseils, sur DF si ça vous dit...

A la place de chmod ou de -type, plusieurs options ouvrent un grand jeu de quilles,
attention à certains strike définitif !!!./././._._._  :-O

Pour aller plus avant :

• Consultez le man find. Encore ? Oui encore..!
• Le tuto find : Le tuto df sur la commande find

— smolski 2009/01/11 07:46 ça nous rajeunis pas ça !